Pour la 13e fois de l'année, Google doit patcher Chrome à cause d'une faille exploitée

Google a poussé en 2021 pas moins de 13 patchs de sécurité pour Chrome, afin de boucher des failles de sécurité qui étaient exploitées à des fins malveillantes.

Tout au long de l’année, les personnes qui utilisent Google Chrome ont pu croiser des titres dans la presse leur recommandant de mettre à jour sans tarder leur navigateur. Des alertes faisant suite à la découverte de vulnérabilités informatiques exploitées par des personnes s’en servant pour essayer de pirater les internautes.

Ces signalements ont été nombreux cette année pour Chrome, car on en dénombre pas moins de treize selon notre décompte des notifications propres à la version de PC du logiciel. C’est en moyenne plus d’une alerte par mois. Il apparaît aussi que les failles exploitées concernent en majorité V8, le moteur JavaScript de Chrome, qui sert à exécuter les instructions en langage JavaScript.

Google Chrome. // Source : Google, Nino Barbey pour Numerama — Google Chrome a reçu pas moins de treize mises à jour plus urgentes que les autres, du fait de failles exploitées par des tiers malveillants. // Source : Google, Nino Barbey pour Numerama

Ci-dessous, la liste des mises à jour poussées par Google pour corriger des failles dans Chrome, dont certaines s’avèrent exploitées à des fins malveillantes.

Mise à jour du 4 février ;

Mise à jour du 2 mars ;
Mise à jour du 12 mars ;

Mise à jour du 13 avril ;

Mise à jour du 20 avril ;

Mise à jour du 9 juin ;

Mise à jour du 17 juin ;

Mise à jour du 15 juillet ;

Mise à jour du 13 septembre ;

Mise à jour du 24 septembre ;

Mise à jour du 30 septembre ;

Mise à jour du 28 octobre ;

Mise à jour du 13 décembre ;

La multiplication des patchs poussés hors des cycles habituels de mise à jour de Chrome peut donner l’impression que le navigateur web est une vraie passoire. Ce sentiment doit toutefois être nuancé : Chrome est de facto souvent pris pour cible parce qu’il est le navigateur le plus utilisé au monde. Parvenir à le pirater, c’est avoir la possibilité de nuire à des millions d’internautes.

Des problèmes récurrents dans le moteur JavaScript

Le moteur V8 est un composant sensible dans Google Chrome, compte tenu de son rôle pour traiter les scripts qui peuplent les sites. C’est même un composant clé pour le web, puisque le moteur V8 est un moteur open source qui est employé par d’autres navigateurs web : Microsoft Edge, Opera, Vivaldi et Brave, entre autres, car ils utilisent tous la même plateforme technologique que Chrome.

Dans le cas de la brèche exploitée liée au 13 décembre, Google précise que le souci est lié à une libération après utilisation (« use after free »). Cela survient quand il y a une utilisation incorrecte de la mémoire dynamique lors du fonctionnement d’un programme. L’erreur offre une opportunité de pirater le programme si cette mémoire n’est pas correctement nettoyée et vidée.

Le détail de cette vulnérabilité n’est pas rendu public aujourd’hui, car Google veut attendre que la nouvelle version de son navigateur web soit suffisamment répandue pour que les explications techniques autour du problème puissent être fournies sans risque. Mais pour les internautes, ce qui importe avant tout est de lancer dès que possible la mise à jour de Google.

Comment vérifier sa version de Google Chrome

Pour mettre à jour Chrome, si ce n’est pas déjà fait :

Lancez le navigateur,
Rendez-vous en haut à droite de l’écran, via les points de suspension verticaux
Cliquez dessus, allez à la ligne « Aide », puis « À propos de Google Chrome ».
Sur la nouvelle page, vous pourrez lire le numéro de la version installée sur votre ordinateur.
Si vous êtes déjà à jour, le navigateur ne fera rien de particulier. Sinon, la mise à jour s’enclenchera.